Na, ich dachte ja erst, die Casino-Spammer hätten sich endlich mal eine neue Masche einfallen lassen, um unerfahrene Netznutzer zu ihren Abzock- und Betrugsläden im Internet zu locken. Nicht das Versprechen gewaltiger Bonusjetonstapel, wenn man den Betrügern Geld gibt, sondern gleich ein anständiges Geschenk – na ja, eher eine kleine Fehlbuchung, nach der man flugs grabschen soll:
Betreff: Es wurden von Ihrer Karte EUR 329.91 abgebucht
Diese tolle Nachricht eines angeblichen „Otto Feinrich“ kommt natürlich mit einer Absenderadresse daher, die nichts mit der Domain des angeblichen Casinos zu tun hat, um gleich den richtigen Eindruck von der Seriosität des Absenders zu erwecken. Und nicht nur das, zur Abwechslung sind die Spammer auch mal fähig, einen Namen für die Anrede aus der Mailadresse zu generieren…
Sehr geehrter Nachtwaechter,
…wenn diese auch im Ergebnis etwas unbeholfen wirkt. Muss man bei diesem angeblichen Zockladen etwas keinen Namen angeben, mit dem dann die Kunden angeschrieben werden? Wahrscheinlich sagen sich die Absender der an die Gier appellierenden Nachricht, dass die Opfer schon nicht auf solche Details achten werden. Denn es sind mal wieder dumme Opfer gefragt, die alles glauben, was ihnen in einer Mail mit gefälschtem Absender ins Postfach flattert:
Ihre Einzahlung #9374786 bei EuroGrand Lux IC wurde erfolgreich ausgeführt. Ihrem Spielkonto wurden EUR 329.91 gutgeschrieben. Sollten Sie mit der Kreditkarte bezahlt haben, finden Sie diese Zahlung im Kontoauszug unter ‚0673 EUROGRANDLUX CY‘
Ich denke, das wurde „von meiner Karte abgebucht“. Und jetzt steht da im glattesten deutschen Konjunktiv ein „sollten sie mit ihrer Kreditkarte bezahlt haben“. Was gibt es denn sonst noch für Karten? Akzeptieren die auch Telefonkarten oder dieses Plastikteil von der Krankenkasse?
Na ja, es werden ja blöde Opfer gesucht, da kann man so etwas schon einmal verzeihen. Denn nur blöde Opfer riskieren hier noch einen gedankenlosen Klick:
Der Auszug kann von unserer Webseite heruntergeladen werden:
http://www.euro-grand-lux.com/profile/banking/9374786/rechnung
Es ist egal, ob man voller Freude darauf rumklickt, weil man eine Fehlbuchung zu eigenen Gunsten vermutet, oder ob man voller Ärger darauf klickt, weil man befürchtet, dass wirklich vom eigenen Konto abgebucht wurde. Die Wirkung ist in jedem Fall die gleiche.
Diese Mail ist in HTML formatiert. Der Text zum Klicken sieht so aus, als sei er eine direkt anklickbare URL, es handelt sich aber um einen ordinären Hyperlink. Der führt übrigens nicht auf dort angegebenen Server (was auch gar nicht möglich wäre, weil diese Domain nicht zu existieren scheint), sondern auf eine Datei, die auf dem Server joiadaindia.com.br
herumlungert. Der Dateiname dieser Datei enthält ganz viele Leerzeichen, nachdem die Extension .pdf
den Eindruck erweckt, dass es sich wirklich um ein „harmloses“ Dokument handele. (Nicht einmal ein PDF von einem Spammer wäre harmlos, der Acrobat Reader enthält immer wieder einmal ausnutzbare Lücken.) Und was kommt nach der endlosen Kolonne von Leerzeichen, die verhindern sollen, dass man in der Adresszeile des Browsers sofort sieht, um was es sich hier handelt. Richtig, es kommt die viel weniger harmlose Extension .exe
, die eine ausführbare Datei für Microsoft Windows kennzeichnet.
Ich weiß nun nicht, was dieses Programm eines kriminellen Spammers täte, wenn man es auf einem Windows-Rechner startete. Aber ich weiß natürlich, was der Spammer hier will. Er will, dass seine Opfer möglichst hirnfrei die Messagebox bestätigen, nachdem sie glauben, dass sie „nur“ ein PDF vor sich haben und dass wie gewohnt der Acrobat Reader gestartet werden soll. Und. Dass sie damit das Programm eines Kriminellen auf ihrem Rechner starten, um sich mutmaßlich eine Kollektion der frischesten Schadsoftware auf ihrem Rechner zu installieren, auf dass die Verbrecher aus der Spam-Mafia ein paar weitere Bots bekommen.
Und das sollte besser niemand tun.
Wir bedanken uns sehr, daß Sie bei unserem Casino gespielt haben.
Aber gern doch habe ich in einem nicht-existenten Casino gespielt.
Otto Feinrich
Promotions Manager
EuroGrandLux Casino
Geh sterben, Mann!
Hier leben Sie Luxus!
Was für ein Luxus wäre denn das (nach deutschem Recht übrigens illegale) Zocken bei einem windigen Internet-Anbieter? Doch nur einer für jemanden, der zu viel Geld übrig hat. Insofern…
Haben Sie Ihr Passwort vergessen?
Kontakt: support.gr@euro-grand-lux.com
Zum Abschluss noch eine Mailadresse, die nicht exisitiert. Da kann man ruhig hinmailen, da kommt einfach nur der Rückläufer vom Mailserver. Und um klar zu machen, dass man es wirklich mit einem kriminellen Spammer zu tun hat, ist die Domain dieser Mailadresse auch noch vom Absender verschieden.
FürAGBs:
http://www.euro-grand-lux.com/[…]/general-terms-conditions.html
Und sogar an einen Link auf ihre Bedingungens haben die Spammer gedacht. Dieser führt übrigens in die totale Leere. In der nächsten Spamwelle mit dieser Masche kriegt man gewiss auch hier eine EXE untergejubelt. Aber im Moment müssen die Spammer noch lernen, wie man das richtig macht…
E-Mail:
support@euro-grand-lux.com
Auch die Mailadresse führt in die Leere. Na ja, auf den Philippinen…
EuroGrandLux Casino
P.O. Box 9377
Makati Central Post Office 2730
Makati City 28374, Manila, Philippines
…ist man wohl noch zu doof zum Spammen.
Ach so: Angesichts der recht stilsicheren und fehlerfreien deutschen Sprache glaube ich nicht, dass es sich um einen Spammer handelt, der kein Deutsch kann. Dies ist ein gezielter Angriff auf Computer im deutschen Sprachraum, der mit einer gewissen Perfidie durchgeführt wird und gewiss recht erfolgreich sein wird.